Actor de amenaza Gray Sandstorm

Gray Sandstorm (anteriormente DEV-0343) lleva a cabo una amplia difusión de contraseñas emulando un explorador Firefox y usando IP hospedadas en una red proxy Tor. Suelen tener como objetivo entre docenas y cientos de cuentas dentro de una organización, dependiendo de su tamaño, y enumeran cada cuenta de docenas a miles de veces. De media, se usan entre 150 y más de 1 000 direcciones IP proxy Tor únicas en ataques contra cada organización.

Los operadores de Gray Sandstorm suelen tener como objetivo dos puntos de conexión de Exchange (Autodiscover y ActiveSync) como característica de la herramienta de enumeración/difusión de contraseñas que usan. Esto permite a Gray Sandstorm validar las cuentas y contraseñas activas, y refinar aún más su actividad de difusión de contraseñas.

País de origen: Sectores atacados:

Irán Defensa

Países atacados:

Israel

Estados Unidos

Actores de amenazas Estado nación

Actor de Estado nación

Gray Sandstorm

Artículos relacionados

El informe final sobre el ataque sin precedentes de Estado nación de NOBELIUM

Evolución de las tendencias en la actividad de los actores de amenazas iraníes: Presentación de MSTIC en CyberWarCon 2021

DEV-0343 vinculado a Irán y destinado a los sectores de defensa, SIG y marítimo